СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
05.11.2024

Уязвимость BDU:2025-02935

Уязвимость BDU:2025-02935

Идентификатор: BDU:2025-02935.

Наименование уязвимости: Уязвимость системного подключаемого модуля операционных систем Synology BeeStation Manager (BSM), Synology DiskStation Manager (DSM) и сервера корпоративного уровня Synology Unified Controller, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость системного подключаемого модуля операционных систем Synology BeeStation Manager (BSM), Synology DiskStation Manager (DSM) и сервера корпоративного уровня Synology Unified Controller связана с недостатком механизма кодирования или экранирования выходных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Уязвимое ПО: Операционная система Synology Inc. BeeStation Manager (BSM) до 1.1-65374 | Операционная система Synology Inc. DiskStation Manager (DSM) до 7.2.2-72806-1 | Операционная система Synology Inc. DiskStation Manager (DSM) до 7.2.1-69057-6 | Операционная система Synology Inc. DiskStation Manager (DSM) до 7.2-64570-4 | Операционная система Synology Inc. DiskStation Manager (DSM) до 7.1.1-42962-7 | Операционная система Synology Inc. DiskStation Manager (DSM) до 6.2.4-25556-8 | Операционная система Synology Inc. DiskStation Manager (DSM) до 3.1.4-23079 |

Наименование ОС и тип аппаратной платформы: BeeStation Manager (BSM) до 11-65374 | DiskStation Manager (DSM) до 722-72806-1 | DiskStation Manager (DSM) до 721-69057-6 | DiskStation Manager (DSM) до 72-64570-4 | DiskStation Manager (DSM) до 711-42962-7 | DiskStation Manager (DSM) до 624-25556-8 | DiskStation Manager (DSM) до 314-23079 |
Дата выявления: 05.11.2024.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— использование средств межсетевого экранирования для ограничения возможности удалённого доступа к уязвимому программному обеспечению;
— сегментирование сети для ограничения доступа к веб-интерфейсу управления уязвимого устройства из других подсетей;
— ограничение доступа из внешних сетей (Интернет);
— использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций:
https://www.synology.com/en-global/security/advisory/Synology_SA_24_20
https://www.synology.com/en-global/security/advisory/Synology_SA_24_23.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-10441.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.synology.com/en-global/security/advisory/Synology_SA_24_20
https://www.synology.com/en-global/security/advisory/Synology_SA_24_23

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: